Konfigurace protokolu SMB přes řízení přístupu klienta QUIC

Řízení přístupu klientů k SMB přes QUIC vám umožňuje omezit, kteří klienti mohou mít přístup k serverům SMB přes QUIC. Řízení přístupu klienta umožňuje vytvářet seznamy povolených a blokovaných seznamů pro zařízení pro připojení k souborovém serveru. Řízení přístupu klientů poskytuje organizacím větší ochranu beze změny ověřování používaného při vytváření připojení SMB ani nemění prostředí koncového uživatele.

Jak funguje řízení přístupu klientů

Řízení přístupu klienta zahrnuje server, který kontroluje seznam řízení přístupu certifikátů a zjišťuje, jestli má klient povoleno navázat připojení QUIC k serveru. Server ověří řetěz klientských certifikátů a před pokračováním v kontrolách řízení přístupu zajistí, že je důvěryhodný. Pokud chcete nakonfigurovat řízení přístupu klienta, správce vydá certifikát klientovi a může přidat hodnotu hash certifikátu do seznamu řízení přístupu spravovaného serverem.

Pokud je klientovi povoleno připojení k serveru přes QUIC, vytvoří se tunel šifrovaný protokolem TLS 1.3 přes port UDP 443. Řízení přístupu klientů také podporuje certifikáty s alternativními názvy subjektu. Protokol SMB přes QUIC můžete také nakonfigurovat tak, aby blokoval přístup odvoláním certifikátů nebo explicitním odepřením přístupu k určitým zařízením. Správce serveru může klientovi zabránit v přístupu k serveru odvoláním klientského certifikátu, a nespoléhat se výhradně na řízení přístupu klienta.

Poznámka

Doporučujeme používat smb přes QUIC s doménami Active Directory, ale není to nutné. Protokol SMB přes QUIC můžete použít také na serveru připojeném k pracovní skupině s přihlašovacími údaji místního uživatele a protokolem NTLM.

Povolte přidání a odebrání položek řízení přístupu pomocí rutin Grant-SmbClientAccessToServer a Revoke-SmbClientAccessToServer. Položky řízení přístupu s typem "Odepřít" lze přidávat a odebírat pomocí rutin Block-SmbClientAccessToServer a Unblock-SmbClientAccessToServer. Položky v seznamu řízení přístupu se dají zobrazit pomocí rutiny Get-SmbClientAccessToServer.

Listový certifikát lze udělit nebo odepřít přidáním položky řízení přístupu, která certifikát identifikuje hodnotou hash SHA256. Skupině koncových certifikátů se společným vystavitelem může být udělen nebo zamítnut přístup přidáním záznamu řízení přístupu pro společného vystavitele. Položku vydavatele je možné přidat pro certifikáty zprostředkující certifikační autority a certifikáty kořenové certifikační autority. Použití položek vystavitele může být užitečné, protože pomáhají snížit celkový počet položek, které je potřeba přidat. Pokud žádný z certifikátů v řetězu certifikátů klienta není odepřen přístup a alespoň jeden má povolený přístup, klient má udělený přístup. Například:

• Pokud je pro certifikát certifikační autority přidána položka povolení a pro jeden z listových certifikátů je přidána položka odepření, všechny certifikáty vydané certifikační autoritou mají udělen přístup s výjimkou certifikátu, pro který je položka odepření přidána.

• Pokud se pro certifikát certifikační autority přidá položka odepření a pro jeden z hlavních certifikátů se přidá položka povolit, bude přístup zamítnut všem certifikátům vydaným certifikační autoritou. Certifikát, pro který byla přidána položka povolit, je odepřen přístup, protože jakákoli položka odepření v řetězu certifikátů má přednost před povolenými položkami.

• Předpokládejme, že kořenová certifikační autorita má dva zprostředkující certifikační autority označované jako zprostředkující certifikační autorita 1 a zprostředkující certifikační autorita 2. Pokud se pro kořenovou certifikační autoritu přidá položka povolení a pro zprostředkující certifikační autoritu 2 se přidá položka odepření, udělí se přístup k certifikátům vydaným zprostředkující certifikační autoritou 1 a certifikáty vydané zprostředkující certifikační autoritou 2 budou odepřeny.

Požadavky

Před konfigurací řízení přístupu klienta potřebujete server SMB s následujícími požadavky.

• Server SMB s Windows Server 2022 Datacenter: Azure Edition, s aktualizací 12. března 2024—KB5035857 nebo Windows Serverem 2025 nebo novějším. Pokud chcete funkci Preview odemknout, musíte také nainstalovat Windows Server 2022 KB5035857 240302_030531 Feature Preview.
• Protokol SMB přes QUIC je povolený a nakonfigurovaný na serveru. Informace o konfiguraci protokolu SMB přes QUIC najdete v tématu SMB přes QUIC.
• Pokud používáte klientské certifikáty vydané jinou certifikační autoritou, musíte zajistit, aby certifikační autorita byla serverem důvěryhodná.
• Oprávnění správce pro server SMB, který konfigurujete.

Důležitý

Po instalaci KB5035857 musíte tuto funkci povolit v zásadách skupiny:

1. Klikněte na Start, zadejte gpedita vyberte Upravit zásady skupiny.
2. Přejděte na Konfigurace počítače\Šablony pro správu\KB5035857 240302_030531 Feature Preview\Windows Server 2022.
3. Otevřete politiku KB5035857 240302_030531 Feature Preview a vyberte Povoleno.

Potřebujete také klienta SMB s následujícími požadavky.

• Klient SMB spuštěný v jednom z následujících operačních systémů:
  • Windows Server 2022 Datacenter: Azure Edition s 12. března 2024 – KB5035857 aktualizace. Pokud chcete funkci Preview odemknout, musíte také nainstalovat Windows Server 2022 KB5035857 240302_030531 Feature Preview.
  • Windows 11 s 12. března 2024 – KB5035853 Aktualizace. Pokud chcete funkci Preview odemknout, musíte také nainstalovat Windows 11 (původní verze) KB5035854 240302_030535 Feature Preview.
  • Windows Server 2025 nebo novější
  • Windows 11 verze 24H2 nebo novější
• Klientský certifikát, který je:
  • Vydáno pro ověřování klientů (EKU 1.3.6.1.5.5.7.3.2).
  • Certifikační autorita, kterou server SMB považuje za důvěryhodnou.
  • Nainstalováno v úložišti certifikátů klienta.
• Oprávnění správce pro server SMB, který konfigurujete.

Důležitý

Po instalaci KB5035854 musíte tuto funkci povolit v zásadách skupiny:

1. Klikněte na Start, zadejte gpedita vyberte Upravit zásady skupiny.
2. Přejděte na Konfigurace počítače\Šablony pro správu\KB5035854 240302_030535 Feature Preview\Windows 11 (původní verze).
3. Otevřete pravidlo KB5035854 240302_030535 Feature Preview a vyberte možnost Povoleno.

Konfigurace serveru SMB

Pokud chcete spravovat nastavení klienta SMB, je nutné nejprve nakonfigurovat server SMB tak, aby nařídil, aby klient odeslal platný a důvěryhodný řetěz certifikátů a provedl kontroly řízení přístupu na základě řetězu klientských certifikátů. Pokud chcete provést tuto akci, spusťte následující příkaz:

Set-SmbServerCertificateMapping -RequireClientAuthentication $true

Poznámka

Pokud RequireClientAuthentication i SkipClientCertificateAccessCheck jsou nastavené na $true, server ověří platnost a důvěryhodnost řetězu klientských certifikátů, ale neprovádí kontroly řízení přístupu.

Konfigurace klienta SMB

Shromáždění informací o klientském certifikátu SMB

Shromažďování hodnoty hash klientského certifikátu pomocí PowerShellu:

1. V klientovi SMB otevřete příkazový řádek PowerShellu se zvýšenými oprávněními.

2. Zobrazte seznam certifikátů v úložišti certifikátů klienta spuštěním následujícího příkazu.

   Get-ChildItem -Path Cert:\LocalMachine\My
   

3. Spuštěním následujícího příkazu uložte certifikát do proměnné. Nahraďte <subject name> názvem subjektu certifikátu, který chcete použít.

   $clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}
   

4. Poznamenejte si hodnotu hash SHA256 klientského certifikátu spuštěním následujícího příkazu. Tento identifikátor potřebujete při konfiguraci řízení přístupu klienta.

   $clientCert.GetCertHashString("SHA256")
   

Poznámka

Kryptografický otisk uložený v objektu $clientCert používá algoritmus SHA1. Používá se s příkazy jako New-SmbClientCertificateMapping. Budete také potřebovat kryptografický otisk SHA256 ke konfiguraci řízení přístupu klienta, protože tyto kryptografické otisky budou odlišné, odvozené pomocí různých algoritmů z téhož certifikátu.

Mapování klientského certifikátu na klienta SMB

Mapování klientského certifikátu na klienta SMB:

1. V klientovi SMB otevřete příkazový řádek PowerShellu se zvýšenými oprávněními.

2. Spuštěním příkazu New-SmbClientCertificateMapping namapujte klientský certifikát. Nahraďte <namespace> plně kvalifikovaným názvem domény (FQDN) serveru SMB a použijte kryptografický otisk klientského certifikátu SHA1, který jste shromáždili v předchozí části s použitím proměnné.

   New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My
   

Po dokončení se klientský certifikát používá k autentizaci na serveru SMB, kterému odpovídá plně kvalifikovaný název domény.

Test mapování připojení

Spusťte test připojení namapováním na sdílenou složku pro server nebo klientské zařízení. Pokud to chcete provést, spusťte jeden z následujících příkazů:

NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC

Nebo

New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC

Pokud se zobrazí chybová zpráva oznamující, že server odepřel přístup, můžete přejít k dalšímu kroku, protože to ověří, jestli je nakonfigurované mapování certifikátů serveru a mapování klientských certifikátů.

Konfigurace řízení přístupu klientů

Udělit jednotlivým klientům

Postupujte podle pokynů a udělte konkrétnímu klientovi přístup k serveru SMB pomocí řízení přístupu klienta.

1. Přihlaste se k serveru SMB.

2. Na serveru SMB otevřete příkazový řádek PowerShellu se zvýšenými oprávněními.

3. Spuštěním Grant-SmbClientAccessToServer udělte přístup k klientskému certifikátu. Nahraďte <name> názvem hostitele serveru SMB a <hash> identifikátorem klientského certifikátu SHA256, který jste získali v části Shromáždění informací o klientském certifikátu SMB.

   Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>
   

Teď jste udělili přístup k klientskému certifikátu. Přístup k klientskému certifikátu můžete ověřit spuštěním rutiny Get-SmbClientAccessToServer.

Udělení konkrétních certifikačních autorit

Postupujte podle pokynů k udělení přístupu klientům od konkrétní certifikační autority, také známé jako vystavitel, pomocí řízení přístupu klienta.

1. Přihlaste se k serveru SMB.

2. Na serveru SMB otevřete příkazový řádek PowerShellu se zvýšenými oprávněními.

3. Spuštěním Grant-SmbClientAccessToServer udělte přístup k klientskému certifikátu. Nahraďte <name> názvem hostitele serveru SMB a <subject name> úplným rozlišujícím názvem certifikátu vystavitele X.500. Například CN=Contoso CA, DC=Contoso, DC=com.

   Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"
   

Po dokončení tohoto kroku spusťte rutinu New-SmbMapping, jak je uvedeno v části Test mapování připojení. Doporučuje se druhé spuštění za účelem ověření, že je správně nakonfigurováno řízení přístupu klienta.

Protokoly událostí auditu

Pro účely řešení potíží se zaznamenávají určité události, jako je povolený přístup a odepření přístupu. Tyto události poskytují informace o klientských certifikátech (s výjimkou kořenového certifikátu), jako je subjekt, vystavitel, sériové číslo, hash SHA1 a SHA256 a položky řízení přístupu, které se vztahují na tyto certifikáty. Tyto události zobrazují ID připojení. Toto ID je zobrazeno v určitých událostech připojení klienta, což správci umožňuje snadnější spárování serveru s klientem, který se pokusil navázat spojení.

Auditování těchto událostí je ve výchozím nastavení zakázané a můžete je povolit spuštěním následujícího příkazu:

Set-SmbServerConfiguration -AuditClientCertificateAccess $true

Po povolení jsou tyto události zachyceny v prohlížeči událostí v následujících cestách:

Cesta	ID události
Protokoly aplikací a služeb\Microsoft\Windows\SMBServer\Audit	3007 3008 3009
Protokoly aplikací a služeb\Microsoft\Windows\SMBClient\Connectivity	30831

Související obsah

• SMB přes QUIC
• Storage na blogu Microsoftu
• Referenční modulu SmbShare
• Domovská stránka pracovní skupiny QUIC
• Domovská stránka Microsoft MsQuic na GitHubu
• QUIC Wikipedie
• Domovská stránka pracovní skupiny TLS 1.3